snort 2.9.3.1
並且發現官方已經不再提供 snort-mysql的rpm了
google了一下 snort以後也不會再對mysql支援
所以必須自己想辦法
必須利用
barnyard2
http://www.securixlive.com/barnyard2/index.php
來把snort 的log再轉入mysql
正在try
http://gsxbinary.blogspot.tw/2010/07/snort-barnyard2-mysql-base-intro.html
2012/10/15 補充
安裝 snort-2.9.3.1-1 這個版本有一個特別要注意的地方就是
white_list.rules 及 black_list.rules 一定要touch二個空檔出來
否則preprocesser會自動停掉 導致之後的rule都不能跑 切記
另外要注意的地方就是在產生unified2 log file的地方在config裡一定要這樣下
output unified2: filename snort.u2, limit 128
開机啟動的script放在/etc/rc.local如下
/usr/sbin/snort -c /etc/snort/snort.conf -i eth1 -l /var/log/snort -D
/usr/bin/barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort -f snort.u2 -w /etc/barnyard2/barnyard2.waldo -D
升級後在BASE的畫面中看到的特徵就只有snort alert 如下
爬了一下文
發現是/etc/barnyard2/barnyard2.conf裡沒設好
要改成如下(路徑要設對)
config reference_file: /etc/snort/rule/etc/reference.config
config classification_file: /etc/snort/rule/etc/classification.config
config gen_file: /etc/snort/rule/etc/gen-msg.map
config sid_file: /etc/snort/rule/etc/sid-msg.map
重開机後就正常了
沒有留言:
張貼留言